Je ne sais pas s'ils se sont donné le mot, mais j'ai l'impression que tous mes flux se sont mis à parler de la sécurité des mots de passe. Ça a commencé avec developpez.com qui explique que les mots de passes sont trop simples et sont donc facilement crackables, puis ce fut autour de blogzinet de proposer une extension qui vérifie notre mauvaise utilisation des mots de passe, intel de nous dire combien mes mots de passe sont faibles et mcaffe de nous donner des conseils.
Je connais ces problématiques, mais j'avoue que j'ai toujours eu un très mauvais usage des mots de passe. Principalement car je réutilise trop mes mots de passe. Comme je fait assez confiance en Mozilla, j'ai pris une bonne résolution et je me suis mis à changer tous mes mots de passe (par des mots de passe générés par openssl : openssl rand -base64 12
, intel dis qu'il met 2 millénaires à les craquer (sic)) et je compte sur l'enregistrement de ceux-ci par firefox pour les mémoriser. Je garde tout de même un fichier chiffré pour les récupérer en cas de besoin.
Blogzinet propose un panel d'extensions pour rendre plus automatisée la saisie des mots de passe (http://blogzinet.free.fr/blog/index.php?post/2013/05/05/Firefox-%3A-Toujours-retenir-les-mots-de-passe).
Et vous vous êtes très rigoureux à ce sujet ? Vous avez des outils hyper top pour gérer vos mots de passe pour vous ou vous préférez un entrainement intense pour les mémoriser tous ?
C'est pas une mais deux nimages que je vous propose, tirés toute deux de xkcd :
# Cadavre exquis !
Posté par aedrin . Évalué à 2.
Ta deuxième image me suggère que finalement les surréalistes ont trouvé un moyen très simple de générer des mots de passe forts (disons de l'ordre du millénaire à craquer) mais mémorisables par un humain :-)
Cadavre exquis
[^] # Re: Cadavre exquis !
Posté par Jiehong (site web personnel) . Évalué à 4.
C'est exactement ce que je fais : j'utilise des phrases de 5 mots au moins. C'est assez simple à retenir je trouve, et efficace (majuscule en début de phrase, ponctuation en fin, et pourquoi pas des chiffres, hein.)
Par contre, que faire quand un site nous fait chier pour des caractères spéciaux, mais qu'il n'accepte pas les mots de passe trop long ? (c'est idiot).
J'ai aussi pensé à utiliser Unicode parfois. Comme par exemple avoir des mots de passe en caractères chinois.
J'utilise aussi un mot de passe test au début : c'est un mot de passe que je changerai, après avoir testé le site, et pour savoir s'il m'envoie mon mot de passe ou pas. Si c'est le cas, je me désinscrit.
[^] # Re: Cadavre exquis !
Posté par Nitchevo (site web personnel) . Évalué à 2.
J'utilise des titres de films que je modifie un peu et que j'écris sans espace, mon réseau wifi a été longtemps protégé par un mot de passe du style "letrainsiffleraquatrefois". En testant sur le site d'intel j'obtiens:
CONGRATULATIONS!
It would take about 66208386616748 years to crack your password.
[^] # Re: Cadavre exquis !
Posté par 2PetitsVerres . Évalué à 7.
Moi si j'utilise juste mon nom de famille : CONGRATULATIONS! It would take about 317 years to crack your password.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# Pas entièrement d'accord avec xkcd
Posté par Jérôme Flesch (site web personnel) . Évalué à 6.
À mon avis, le 1er xkcd linké tape parfaitement juste, mais le 2ième oublie une chose : il faut réussir à taper "correcthorsebatterystaple" dans un champ texte qui masque la saisie. Je suis à peu prêt sûr que la plupart gens ont déjà du mal à saisir leur mot de passe de 8 caractères sans typo, alors 26 … Peut-être faudrait-il généraliser la saisie de mot de passe avec le dernier caractère visible, comme elle est faite sur les smartphones ?
Sinon, pour répondre à ta question, moi j'utilise pwgen et pwsafe. Ça me permet d'avoir un master password qui protège ma base de données de mots de passe, et un mot de passe unique par site web. Comme ça, en cas de fuite/piratage/whatever, je n'ai jamais plus qu'un mot de passe à changer.
Il me reste toutefois le problème du login sur mes machines. J'ai le même couple login/mot de passe sur toutes mes machines perso. Pour résoudre ce problème, j'avais un ami qui avait joué avec les one-time passwords (il utilisait son téléphone portable pour les générer). Mais personnellement je n'ai pas eut le temps d'essayer.
[^] # Re: Pas entièrement d'accord avec xkcd
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 6.
D'expérience, c'est très facile pour qui a l'habitude de taper sans regarder son clavier. Par contre, je ne sais pas si Madame Michu y arriverait (on me rétorquera qu'elle utilise 1234).
La connaissance libre : https://zestedesavoir.com
[^] # Re: Pas entièrement d'accord avec xkcd
Posté par stopspam . Évalué à 3.
Pas sûr… Un mot de passe alphabétique sera toujours plus facile à taper étant donné qu'on utilise la fonction première de chaque touche.
Pour les mots de passe chiadés, ça peste dans tous les coins du bureau : en allant vite les gens tapent mal un caractère spécial sur deux ($&@€…) et se loupent dans les majuscules. A part les dieux du
codeclavier.[^] # Re: Pas entièrement d'accord avec xkcd
Posté par claudex . Évalué à 3.
Je tape sans regarder mon clavier (de toute façon, ce ne sont pas les bons caractères écrits dessus) et pourtant, c'est le genre de truc où je ferrais facilement une faute.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Pas entièrement d'accord avec xkcd
Posté par SlowBrain (site web personnel) . Évalué à 3.
Un adepte du «BÉPO» ? ;)
Je sais que pour certains mots de passe j'ai tendance a plus utiliser ma mémoire musculaire que de vraiment retenir le mot de passe en lui même. En fait mes main sont tellement habituée a taper le mot de passe que les doigts fonts d'eux même les bon mouvement sur le clavier pour le taper.
Mais bon, les mots de passe sont et restent un complexe sujet surtout pour les utilisateurs «simples».
Je sais qu'as mon boulot, on en est arrivé a demander un mot de passe sur toutes les applications, pour finalement faire appel a un LDAP pour avoi le même couple ID/Pass partout (a quelques applications prés qui ne suivent pas se principe). Mais pour simplifier les choses, il y as 1 an ½, ils nous ont installé un SSO pour qu'on ai pas a taper toutes les 5 minutes notre mot de passe (SSO qui fonctionne moyennement)
[^] # Re: Pas entièrement d'accord avec xkcd
Posté par claudex . Évalué à 3. Dernière modification le 11 mai 2013 à 08:17.
Non, je n'aime pas.
C'est le cas pour les 2/3 mots de passe que je tape très souvent mais dès que je dois taper un autre, c'est plus compliqué.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Un mot de passe par service
Posté par davandg . Évalué à 2.
Perso, et je donne ce conseil autour de moi, j'ai un seul mot de passe qui se décline pour chaque service.
Je prend un mot de passe "compliqué", comme "8jS T/1D".
Sur gmail, ce mot de passe deviendra "8gjS T/1D".
Sur LinuxFr, "8ljS T/1D".
Les principales faiblesses :
- certains services ont des limitations sur le mot de passe (trop court, trop long, pas d'espace, pas de caractères spéciaux…), j'ai donc un mot de passe plus simple pour eux
- si un pirate accède à 2 de ces mots de passes, il peut trouver comment se connecter partout
- si j'ai plusieurs comptes sur le même service, ils ont le même mot de passe
[^] # Re: Un mot de passe par service
Posté par skeespin (site web personnel) . Évalué à 3.
Mes mots de passe son souvent mémo-technique, du genre :
Linuxfr : Tr0llS!t3
Gmail : B1gbr0|h3rM4il
On peut augmenter la longueur du mot de passe assez simplement et rajouter des espaces.
[^] # Re: Un mot de passe par service
Posté par barmic . Évalué à 6.
pour moi c'est le meilleur moyen d'oublier, les trucs mémo-techniques. Un jour je penserais à troll pour linuxfr, un jour ce sera à communauté ou je ne sais quoi.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Un mot de passe par service
Posté par Anonyme . Évalué à 7.
C'est quoi ton adresse mail déjà ? :)
[^] # Re: Un mot de passe par service
Posté par barmic . Évalué à 3.
J'ai était surpris en testant la page d'Intel, mais il considère que c'est un mot de passe faible (cracké en une journée).
C'est un gros défaut à mon humble avis. Les mots de passe avec une base commune permettent souvent de déduire les autres, là ce n'est pas le cas mais tu n'a que 26 mot de passe possibles.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Un mot de passe par service
Posté par dj_ (site web personnel) . Évalué à 3.
La page de test d'intel est très bizarre, quand on regarde les commentaires de gens qui ont testé sur PCinpact
on peut voir qu'il y en a un qui écrit
[^] # Re: Un mot de passe par service
Posté par Faya . Évalué à 2.
Je confirme, c'est bizarre :
- un simple mot du dictionnaire anglais (13 lettres quand même) dans lequel j'ai remplacé un i par un 1 : 3700 ans
- deux mots anglais qui n'ont pas l'habitude d'être ensemble (9 lettres au total) dans lesquels j'ai remplacé un o par un 0 : 13 secondes !
[^] # Re: Un mot de passe par service
Posté par duf . Évalué à 3.
Je suis d'accord, ou alors ils ont mis le seul dictionnaire anglais. Avec le mot : "anticonstitutionnellement" cela donne : "786646735746960700000 years to crack"
Avec mon mot de passe aléatoire que j'estime compliqué, avec 4 majuscules, une minuscule, 2 chiffres et 3 caractères spéciaux le tout dans le désordre, il me dit qu'il faut seulement un mois pour le trouver…
Le pire, si je réduis le mot du dico ci dessus et que je le limite à 10 caractères, la même longueur que mon mot de passe, il estime à 5 mois le délai pour le trouver… En plus d'être ridicule cette page est limite dangereuse de faire croire qu'un mot de passe comme "anticonsti" est sûr (on a le message congratulations il faut 5 mois pour le trouver) alors qu'un mot de passe comme "FGiMZµ!98;" se fait tirer les oreilles car "oh no" il faut seulement un mois pour le trouver….
Malgré ces résultats, je crois que je ne vais pas suivre ses conseils en gardant mon mot de passe et en n'utilisant pas un mot du dictionnaire français, tout aussi long soit-il :-)
[^] # Re: Un mot de passe par service
Posté par Marotte ⛧ . Évalué à 3.
Autant je suis d'accord avec ton message autant :
Et bien il n'est pas fort mais il n'est pas si faible non plus.
Bon, il reste faible en fait car on peut imaginer une attaque mixte qui prendrait pour chaque mot du dico, en plus du mot lui même, toutes les « diminutions » possible, ex :
voiture, voitur, voitu, voitu, voit, voi, vo, v
Même en ajoutant des variations genre minuscule/majuscule, 4 à la place du a, etc… On a toujours nettement moins de possibilités à tester que du pur aléatoire.
Le logiciel jacktheripper permet justement de créer ce genre de liste de variations à partir d'un dico, par contre j'ai jamais vraiment bien saisi sa syntaxe pour définir ces règles.
[^] # Re: Un mot de passe par service
Posté par oinkoink_daotter . Évalué à 2.
johntheripper, non ?
[^] # Re: Un mot de passe par service
Posté par Marotte ⛧ . Évalué à 2.
toutafé
Jack c'est le tueur de péripatétiputes.
(flemme de chercher le lien, synapses encrassées tout ça…)
[^] # Re: Un mot de passe par service
Posté par Guillaume Knispel . Évalué à 2.
Ça dépend des mdp. Par ex entre un mot du dico long et du pur aléatoire un peu plus court, la meilleure sécu peut être sur le pur aléatoire.
[^] # Re: Un mot de passe par service
Posté par Marotte ⛧ . Évalué à 2. Dernière modification le 11 mai 2013 à 11:31.
C'est même sûr. Pour trouver le mot de passe en générale on fait d'abord une attaque par dictionnaire, ce qui est assez rapide, il n'y a pas tant de mot que ça dans une (voir deux ou trois) langue(s) donnée(s), de l'ordre de 200000 pour le français par exemple, ce qui est nettement inférieur à 265.
Cela n'explique pas :
[^] # Re: Un mot de passe par service
Posté par Tonton Benoit . Évalué à 3.
Mieux que la page d'Intel : https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html
Eux au moins ils expliquent le calcul.
[^] # Re: Un mot de passe par service
Posté par Anonyme . Évalué à 2.
Y a juste un truc que je ne comprends pas : si on considère le mot de passe « -_1234554321_- », le script considère qu’il faut trois jours pour le casser (le mot de passe est faible, mais c’est un simple exemple). La démarche est la suivante :
Pourquoi la « symétrie » n’est pas testé ? C’est courant de voir des effets du genre « -=texte=- », je pense que ça doit apparaître souvent dans des mots de passe.
[^] # Re: Un mot de passe par service
Posté par Anonyme . Évalué à 2.
Je viens de trouver un exemple un peu plus parlant.
En considérant le mot de passe « -_ifdkkdfi_- » voilà ce que j’obtiens :
# KeePassX
Posté par Anonyme . Évalué à 6.
J'utilise KeePassX qui génère et retient les mots de passes pour moi. Je connais quelques mots de passes par cœur (qui sont en réalité des phrases assez longues en camel case) notamment mes mots de passes root (quand il y en a), mes mots de passes utilisateur, les passephrases de déchiffrement des partitions, les mots de passe des boites mails, etc.
[^] # Re: KeePassX
Posté par paco81 . Évalué à 0. Dernière modification le 10 mai 2013 à 13:43.
Moi aussi, avec en plus keepass sous windows et keepassdroid sous android, et un fichier stocké "dans le cloud".
J'en suis hyper satisfait, le must c'est le raccourci global "autotype" (sous windows en tout cas, avec keepassx je ne sais pas) qui détecte le site où tu te trouves, et saisit automatiquement ton nom d'utilisateur et mot de passe, sans avoir à ré-ouvrir keepass.
Et puis ça permet aussi d'avoir un suivi de tous ses comptes, ce qui est appréciable (et quand je vois que j'en ai saisi presque une cinquantaine, je me demande comment je faisais avant !).
[^] # Re: KeePassX
Posté par Jérôme Flesch (site web personnel) . Évalué à 2. Dernière modification le 10 mai 2013 à 15:43.
Hm, et il se passe quoi si ton cloud se fait démonter par des pirates et que, comme c'est déjà arrivé trop souvent par le passé, le chiffrage de des données se révèle insuffisant voir inexistant ?
Pour ma part, je stocke ça sur mes machines perso. Ça ne veut pas dire que je suis à l'abri d'un piratage, mais ça veut dire que je sais à peu prêt comment la sécurité de mes mots de passe est assurée. Aussi, à mon avis, il y a quand même moins de chances que mes machines perso se fassent démonter par une attaque ciblée qu'un service de cloud (nettement plus rentable pour un pirate).
[^] # Re: KeePassX
Posté par Zylabon . Évalué à 10.
Tu n'as pas compris le principe du "cloud". Tu ne peux pas le « démonter », parce que tu ne peux pas l'attraper. Il est tout à fait nébuleux, partout et nulle part à la fois. Le pirate qui veut l'attaquer va avancer vers lui et passer au travers sans même s'en être rendu compte.
Please do not feed the trolls
[^] # Re: KeePassX
Posté par paco81 . Évalué à 2.
Evidemment, les fichiers keepass sont chiffré, c'est quand même le minimum.
Et puis "cloud" n'est pas incompatible avec machine perso. L'idée est simplement d'avoir un accès facile à ta base de mots de passe, que ce soit depuis ta machine perso, un dropbox, une clé usb, peu importe.
[^] # Re: KeePassX
Posté par Anonyme . Évalué à 3.
Je pense qu'actuellement, le seul risque que j'ai, c'est que ma KDB soit corrompue ou effacer.
Je la partage entre mes machines via Ubuntu One (parce que, faut pas déconner, une KDB qui n'est pas synchroniser entre tes machines, c'est inutile). Donc, même si un « attaquant » a accès aux données qui sont sur Ubuntu One, il lui faut encore la première parie du mot de passe (que je connais), plus la seconde partie, stocké dans sur ma Yubikey pour déverrouiller la base.
# Générateurs de mots de passe ?
Posté par mrr . Évalué à 0.
Salut,
Je ne sais pas si utiliser une suite de mots présents dans le dictionnaire est une bonne idée: Est-ce que ça ne rends pas vulnérable à une attaque par dictionnaire ?
Personnellement, j'utilise PasswordMaker qui me génère un mot de passe de 15 caractères à partir d'une URL, d'un nom d'utilisateur et d'un mot de passe maître…
Il me semble que 1615 possibilités doivent suffirent, mais comme les mots de passe sont générés avec quasiment toujours le même nom d'utilisateur et l’adresse du site, je me demande si ils ne sont pas prédictibles…
Envoyé depuis ma Debian avec Firefox
[^] # Re: Générateurs de mots de passe ?
Posté par Michaël (site web personnel) . Évalué à 2. Dernière modification le 10 mai 2013 à 15:19.
Tu peux voir un dictionnaire de 300000 mots comme un alphabet A avec 300000 lettres. Un mot de passe habituel est un mot dans un alphabet B avec environ 70 lettres.
Comme log(300000) / log(70) est environ égal à 3, une mot de passe de 6 lettres dans A est aussi sûr qu'un mot de passe de 18 = 3 x 6 lettres dans B.
Si au lieu de regarder un dictionnaire de 300000 mots tu te restreints au 20000 mots les plus courants (alphabet C), le rapport est environ égal à 7/3 et un mot de passe de 6 lettres dans C est aussi sûr qu'un mot de passe de 6 x 7/3 = 14 lettres dans B.
Deux liens:
http://world.std.com/~reinhold/diceware.html
http://xkcd.com/936/
# passgrid
Posté par devnewton 🍺 (site web personnel) . Évalué à 1.
LA solution: http://devnewton.bci.im/projects/passgrid/home
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Wiki
Posté par BFG . Évalué à 4.
Un petit message juste pour rappeler qu'il y a quelques articles sur le wiki de LinuxFR et que chacun peut y contribuer s'il a envie.
# Les habitudes
Posté par Arthur Geek (site web personnel) . Évalué à 2.
Il y a quelques années, j'ai réussi à me débarrasser de l'habitude d'utiliser deux mots de passe partout.
J'ai un mot de passe généré par pwgen pour chaque service, le tout précieusement conservé dans Keepass. Maintenant, étant assez en accord avec le xkcd 936, je me palucherait bien la modif de tous ces mots de passe pour des phrases aléatoires, éventuellement en latin (j'ai une phrase en latin pour le WPA qui est assez forte). En plus ça permettrait de modifier mes mots de passe, ce qui ne fait jamais de mal. Il me manque juste la motivation…
Prochainement, je vous proposerai peut-être un commentaire constructif.
# Single Point of Failure
Posté par fcartegnie . Évalué à 6.
S'ils en parlent tous, c'est parce qu'ils étaient tous sur Linked.in et autre et que leur mot de passe a fuité et ont été sensibilisé à leur dépens. Sinon, je pense qu'ils s'en taperaient toujours.
Mettre un mot de passe différent sur chaque compte, c'est pour éviter la réutilisation en cas de fuite: Sauf qu'en général il suffit uniquement d'obtenir le mot de passe du compte mail de l'utilisateur pour avoir le moyen de changer tous les autres…
[^] # Re: Single Point of Failure
Posté par barmic . Évalué à 2.
McAffe et Intel ? J'ai un doute quand même.
Tu as raison. Tu as une solution pour ça ? Certains service font de l'authentification 2 steps pour changer le mot de passe mais en l'état, pour les utilisateurs ça leur fait une belle jambe.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Single Point of Failure
Posté par Zylabon . Évalué à 4.
Avoir son propre serveur mail et s'y connecter avec une clé privée ?
Please do not feed the trolls
[^] # Re: Single Point of Failure
Posté par paco81 . Évalué à 1.
Avec gmail tu peux avoir l'authentification 2 steps systématique, pas seulement pour le changement de mot de passe.
J'imagine que ça doit pas être difficile à mettre en place pour un serveur perso. Sur synology DSM en tout cas y'a une option pour ça (je ne l'ai pas testée).
# Mots de passe via HMAC
Posté par jben . Évalué à 6. Dernière modification le 10 mai 2013 à 14:27.
Perso pour générer mes mots de passes j'utilise HMAC tel que décrit dans la RFC2104.
J'ai ma clef secrete, que je ne communique à personne, et pour chaque site j'utilise une chaine pour l'identifier, par exemple
linuxfr
ouservicepublic
. Je calcule condensat HMAC (SHA256), puis je décompose ce condensat dans un alphabet et je tronque. Par defaut j'utilise l'alphabet alphanumérique (donc base62), et je tronque à 15 caractères.Cela se résume en :
Si la clef est suffisament forte, cela fait une entropie de 89 bits.
Après dans la vrai vie j'ai une toute petite gui que je lance avec un raccourci clavier, je rentre ma clef et le nom du site, puis je valide et ça me met le mot de passe dans le champ de texte. (Ce code fait appel à celui cité içi, mais il est trop moche pour que je publie ici), et j'ai une version de secours qui s'utilise en ligne de commande sur mon mobile au cas où.
De cette manière, je n'ai aucun soucis de synchronisation d'une quelquonque base de donnée.
[^] # Re: Mots de passe via HMAC
Posté par Moonz . Évalué à 3.
L’inconvénient évident de cette méthode est que tu ne pourras jamais changer ta clé sans changer tous tes mots de passes sur tous tes sites.
[^] # Re: Mots de passe via HMAC
Posté par jben . Évalué à 2.
C'est parfaitement vrai.
Toutefois les avantages de cette methode dépasse cette inconvéniant, c'est à dire méthode de construction du digest éprouvé, flexibilité (sur toutes mes machines) et absence de synchronisation.
Alors je fais avec ce désavantage.
# Carnet
Posté par Michaël (site web personnel) . Évalué à 4.
Je note la plupart de mes mot de passe dans un carnet et retiens par cœur la poignée de mot de passe vraiment importants (la banque et mes deux mails principaux, machine).
Pour une personne privée (hors contexte entreprise, défense, sûreté, etc.) c'est une politique de sécurité complètement raisonnable.
[^] # Re: Carnet
Posté par Arthur Geek (site web personnel) . Évalué à 3.
Il faut penser à mettre Amazon dans les mot de passe "sensibles" à ne pas noter vu qu'ils conservent ton numéro de CB pour la commande en 1 clic.
Prochainement, je vous proposerai peut-être un commentaire constructif.
# Le problème, c’est les autres ...
Posté par zebul0n (site web personnel) . Évalué à 2.
Parfois, on aimerait bien utiliser un mot de passe fort, mais c’est le fournisseur du service qui impose des contraintes à la con.
D’ailleurs, j’ai remarqué que ce sont souvent ceux qui nécessiterais le plus de sécurité qui sont le plus à la rue …
Exemple avec impots.gouv.fr ou on aimerait bien que les informations qu’on leur fournit ne se retrouve pas dans la nature :
Le mot de passe doit respecter les critères suivants :
* être une série de chiffres et lettres ne comportant ni espaces, ni caractères accentués.
* longueur minimale de 8 caractères et de 20 caractères au maximum.
Pourquoi ces règles arbitraires ?
Et je parle même pas de ma banque …
[^] # Re: Le problème, c’est les autres ...
Posté par Anonyme . Évalué à 3.
Ma banque (le Crédit Mutuel) ne tolère pas les mots de passes dépassant 8 caractères et l'identifiant est une valeur super difficile à obtenir : le n° du compte courant.
[^] # Re: Le problème, c’est les autres ...
Posté par Zylabon . Évalué à 2.
Dans ma banque, crédit coopératif, mon identifiant ressemble au mot de passe que tu décris et le mot de passe est calculé par un petit boitier avec carte bleu et est valable 30 secondes. C'est cool !
Please do not feed the trolls
# Firefox, stockage des mots de passe
Posté par cowboy . Évalué à 1.
Si tu utilises le stockage des mots de passe dans firefox, fais bien attention à utiliser un "master password" bien robuste. Cela évitera à n'importe qui (cad n'importe quel code malveillant) de récupérer directement tous tes mots de passes.
Sinon, Keepass a été mentionné, il a la particularité (dans sa version 2, sous Windows) d'avoir été certifié CSPN, ce qui donne un minimum de garanties sur sa robustesse : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2010_07.html
Sinon, clairement, le plus gros risque est la réutilisation de mots de passes : si un forum pourri stocke les mots de passe en clair, la personne malveillante pourra essayer de le rejouer sur le mail, sur d'autres sites, etc.
Le commentaire qui parle de dérivation de mots de passe en fonction du site me semble un bon compromis : peu d'attaquants (non ciblés) vont chercher à corréler les mots de passe et de toutes manières un attaquant réellement motivé trouvera une autre solution.
# Plus simple
Posté par 2PetitsVerres . Évalué à 3.
À part pour mes banques ou mes comptes emails, et quelque autres trucs surement, mais ça ne me viens pas à l'esprit là, je n'en ai pas grand chose à faire de me faire piquer mes mots de passe. Du coup, suivant l'humeur du moment, je laisse le mot de passe généré aléatoirement par le site et j'enregistre le cookie, sans retenir le mot de passe, ou alors j'utilise «toto» ou «lenomdusite» comme mot de passe. Et si je dois me connecter depuis ailleurs que mon pc habituel, je clique sur «renvoyez-moi un nouveau mot de passe» et je vais lire mes emails. Du coup, je n'ai qu'à me souvenir de cinq ou six mots de passes long et différents, je ne m'encombre pas du reste.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# root ?
Posté par kadalka . Évalué à -10.
Il m'est arrivé de mettre
root
comme mot de passe. :-D(C'est vrai que le matos n'allait pas sur le net non plus…)
[On vire un admin pour moins que çà]
Les MdP dans mon cas sont au minimum de lettre et de chiffres.
Souvent, je mets des caractères spéciaux.
Ce n'est pas le même mdp pour ce qui est critique et ce qui ne l'est pas.
Sur linuxfr mon mdp est complexe [plusieurs caractères spéciaux, lettres et chiffres].
(Vu les " méchants " ici, il vaut mieux être prudent…)
Je change certains mdp assez souvent…
(Le risque est faible car je suis assez exigeant)
Le problème n'est pas dans le mot de passe je pense.
Si quelqu'un veut pirater un compte il y arrivera quand même mais pas nécessairement en passant par un mot de passe.
Tout dépend des moyens qu'il met bien sûr.
Des mauvais hackers ont bien réussit à pirater le pentagone non ?
# en fin de compte
Posté par maboiteaspam . Évalué à 2.
C'est s'occuper des sypmtômes, pas de l'origine du problème. Faut il que je développe l'utopie.. En tout cas pour sûr c'est perdu d'avance.
Les machines vont être de plus en plus sur connectés , les gens aussi, que ce soit par la technique ou par l'ingénierie social, l'exposition étant plus forte, les failles exploitées seront plus nombreuses.
Augmenter la force des mots de passes et une fuite en avant pour parer au plus pressé.
Quoiqu'il en soit et pour revenir à des réalités plus immédiates, si mon rssi pouvait communiquer le millième de ce que les médias nous donnent à manger sur le sujet, ce serait un grand pas en avant.
Et alors, si par le plus grand des hasard et lever d'un pied gauche, il pouvait communiquer d'une manière aussi sympathique que ces xkcd, alors il ferait de la sécurité informatique un sujet dont ces utilisateurs peuvent s'emparer pour en discuter entre eux et le faire vivre au delà des règles barbantes à respecter en permanence.
Car oui la sécurité du point de vue l'utilisateur est souvent d'une insupportable barbarie.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.